李晨光原创IT博客

原创 2019款Mac Pro到底有多强

0、 背景 2013款Mac Pro 俗称“垃圾桶”，是苹果公司2013年底向市场推出的一款图形工作站，体积只有2010款Mac Pro 的八分之一，在体积上秒杀了市面上所有工作站，而性能却提高了 4 倍。主款主机颠覆了传统立式机箱的结构布局，由三块主板竖着围成一个三角尺由此构成了一个高9.9寸的圆柱型结构工作站。 正是由于这种紧凑型设计造成扩展性问题，对于普通...

原创 用OSSIM可视化显示SSH异常行为

当遇到SSH异常行为时我们通常选择到日志服务器上被动查看和分析日志，这样往往无法实时发现可疑IP的异常行为，下面通过OSSIM平台大数据分析智能筛选出疑似Attack行为。场景再现：小张最近在使用某云服务器的过程中，被比特币Hacker光顾了服务器....，损失惨重。在备份好重要资料之后，重新安装了系统，没过多久服务器又挂了。在随后的调查中，小张在服务器中发现了一些蛛丝马迹，aut...

原创 本人2019年最新OSSIM作品再次获中科院图书馆永久收藏

中国科学院国家科学图书馆立足中国科学院、面向中国，主要为自然科学、边缘交叉科学和高技术领域的科技自主创新提供文献信息保障、战略情报研究服务，同时该中心为国际图书馆协会与机构联合会（IFLA）成员。网址：http://www.las.ac.cn/国内网络安全SIEM领域又一开荒之作《开源安全运维平台OSSIM疑难解析》丛书（入门篇、提高篇）再次获中科院图书馆永久收藏。该套丛书是自《开源安全运...

原创 手动打造Snort+barnyard2+BASE可视化报警平台

背景大家在安装基于Snort NIDS系统， 感觉很难，总是出错，其他安装Snort并不难，难的是准备工作做得不充分，如果你做的不好，在配置可视化报警时会遇到各种问题，例如：为什么Snort编译总报错？ 为什么启动Snort后会立刻退出？ Snort不报警怎么办？ MySQL数据库里无法存储Snort报警怎么办？ 浏览器打开ACID，里面一片空白怎么办？ 看着别人安装成功了，我却...

转载 第十七届北京国际图书节本人发布重磅新书

本人历时2年多完成的两部最新网络安全运维作品《开源安全运维平台OSSIM疑难解析：入门篇》《开源安全运维平台OSSIM疑难解析：提高篇》，已由人民邮电出版社出版发行，并于今年8月21~25日参加了北京国际图书节，该书的全新亮相，引起众多计算机爱好者的广泛关注。本套图书在全国各大新华书店以及电商平台均有销售。...

原创 一条日志的发展历程

一条日志的发展历程更多有趣的内容大家可参考我的新作《开源安全运维平台OSSIM疑难解析--入门篇》，该书目前已上市。

原创 《开源安全运维平台OSSIM疑难解析--提高篇》8月下旬上市

《开源安全运维平台OSSIM疑难解析--提高篇》将由人民邮电出版社，于2019年8月底正式出版，这本书是《开源安全运维平台OSSIM疑难解析--入门篇》的姊妹篇，此书从立意到付梓，历时超过两年，经过数十次大修，历经曲折与艰辛，希望为大家代奉献一本好书，愿这本书能陪伴OSSIM用户一起进步一起成长。在提高篇这本书中精选了作者在OSSIM日常运维操作中遇到的许多疑难杂症，并给出了相应的解决方案。本...

原创 让你久等了！《开源安全运维平台OSSIM疑难解析--入门篇》8月上市

2019年暑期，众所期待的新书《开源安全运维平台OSSIM疑难解析--入门篇》8月份上市。此书从立意到付梓，历时超过两年，经过数十次大修，历经曲折与艰辛，希望为大家代奉献一本好书，愿这本书能陪伴OSSIM用户一起进步一起成长。一、写作目的目前，OSSIM在中国移动、中国电信、中国石油、华为等大型企业内得到应用推广，这些企业在安全运营中心（SOC）基础上组建了OSSIM运维和二次开发团队，但...

原创 《开源安全运维平台OSSIM疑难解析--提高篇》 课后习题

《开源安全运维平台OSSIM疑难解析--提高篇》课后习题首发原文地址：http://blog.51cto.com/chenguang/2348918一、多项选择题 OSSIM企业运维疑难问题解析-提高篇1.为了在OSSIM前端能显示丰富的图形，系统中必须安装 库，它是一种图形库，可以让PHP绘制各种图形，能够创建Jpg、PNG和BMP图像。A．Zlib...

原创 《开源安全运维平台OSSIM疑难解析--入门篇》 课后习题

《开源安全运维平台OSSIM疑难解析--入门篇》 课后习题下面列出的《开源OSSIM企业运维疑难问题解析》入门篇中针对OSSIM日常运维中遇到的问题总结而成下列测试题（局部）。首发原文地址：http://blog.51cto.com/chenguang/2349080一、多项选择题1．AlienVault OTX表示开放式威胁交换，OSSIM中将IP信誉评价数据记录在哪个文件...

原创 Microsoft SQL Server2005服务器安全与维护-李晨光-专题视频课程

本课程从安装SQLServer2005基础讲起逐步深入创建维护计划任务、配置服务器和角色管理、日志备份还原操作等。

原创 《开源安全运维平台OSSIM疑难解析》一书将于2019年秋季开学季上市

《开源安全运维平台OSSIM疑难解析》一书将于2019年秋季开学季上市 时光荏苒、日月如梭。如今看到2008年写的技术文章到现在已经10年了，在此期间每周我都会把工作中遇到的各种技术问题总结下来。写博客是一种向外界传递个人观点和兴趣的一种方式，而兴趣是写作动力源泉，多年来坚持不懈的创作，换来了丰厚的回报。图书简介： 本书共分22章，通过本人历时两年时间创作而成。重点讲...

原创 我的书进驻美国 amazon.com 、 ebay.com

全球OSSIM爱好者可以通过亚马逊amazon.com、ebay.com等海陶到《开源安全运维平台：OSSIM最佳实践》，任何银行的mastercard/visa信用卡都行。

转载 用开源工具Xplico助力网络应用层数据解码

用开源工具Xplico助力网络应用层数据解码首发：http://netsecurity.51cto.com/art/201606/513237.htm0.概述Xplico功能不仅是一个网络协议分析工具，还是一个开源的网络取证分析工具(NFAT)。网络取证分析工具是一个科学的捕捉，记录和检测入侵并进行调查的网络流量分析处理系统。Xplico主要作用是从捕获网络应用层数据并显示出来，这指的是通过捕获I

原创 UNIX/Linux系统取证之信息采集案例

在UNIX/Linux系统取证中，及时收集硬盘的信息至关重要，《Unix/Linux网络日志分析与流量监控》一书中，将详细讨论各种常见系统进程系统调用及镜像文件获取方法。下面简单举几个例子。

原创 快速安装可视化IDS系统 （带视频）

本节为大家介绍的软件叫安全洋葱Security Onion，根OSSIM一样，它是基于DebianLinux的系统，内部集成了很多开源安全工具，NIDS、HIDS、各种监控工具等等，下面我们就一起体会一下它如何进行深层防御。

原创 OSSIM平台安全事件关联分析实践

OSSIM平台安全事件关联分析实践       在《开源安全运维平台OSSIM最佳实践》一书中叙述到，事件关联是整个OSSIM关联分析的核心，对于OSSIM的事件关联需要海量处理能力，主要便于现在需要及时存储从设备采集到的日志，并能关联匹配和输出，进而通过Web UI展示。从实时性上看，关联分析的整个处理过程不能间断，这对系统的实时性要求较高，另外Ossim系统是基于规则的，Ossim内部

原创 详解网络流量监控

详解网络流量监控       从网络体系架构来说，网络流量是基础。所有对网络的应用和网络本身的行为特点的研究都可以通过对网络流量的研究来获得。网络的行为特征可以通过其承载的流量的动态特性来反映，所以有针对性地监测网络中流量的各种参数(如接收和发送数据报大小、丢包率、数据报延迟等信息)，能从这些参数中分析网络的运行状态。通过分析和研究网络上所运载的流量特性，有可能提供一条有效的探索网络内部运

原创 数据包嗅探

数据包嗅探 在交换网络环境中，根据数据包的目的地MAC地址，只将它们发送到其目的端口。这需要更加智能化的硬件，这些硬件能够创建并维护关联MAC地址和特定端口的表，依赖于该表将设备连接到每个端口。交换网络环境的好处是只将数据包发送给目的设备，因此混杂模式将不能窃听任何额外的数据包。但即使是在交换环境中，仍有巧妙的方法窃听其他设备的数据包；只不过它们更复杂一

原创 Socket嗅探

Socket嗅探上面几篇博文介绍了基础支持至此，在我们的代码示例中已经使用过流套接字了。使用流套接字发送和接收时，数据被简洁地包装在一个TCP/IP连接中。访问OSI模型的会话层(5)，操作系统负责所有传输过程中的低级细节、纠错和路由。使用原始套接字可以在较低层对网络进行访问。在网络的较低层，程序员必须处理所有暴露出来的细节。通过使用类型SOCKRAW即可指定原始套接字

原创 网络嗅探技术

网络嗅探技术数据链路层上的交换(switched)网络与非交换(unswitched)网络之间也存在区别。在非交换网络中，以太网数据包经过网络上的每个设备，期望每个系统设备只查看以其作为目的地址发送的数据包。然而，将设备设置为混杂模式(promiscuous mode)是相当容易的，该模式允许设备查看所有数据包，而不管其目的地址是什么。大多数的数据包捕获程序，例如t

原创 了解网络底层信息

了解网络底层信息使用Web浏览器时，您不必考虑所有7个OSI层中的任何一个，这将允许您专注于浏览而不是协议。在OSI的较高层上，许多协议可以是纯文本，因为较低的层已经考虑了连接的所有其他细节。会话层(5)上有套接字，它提供了从一台主机向另一台主机发送数据的接口。传输层(4)上的TCP提供了可靠性和传输控制。网络层(3)上的IP提供了寻址和包级别的通信。数据链路层(2)上的以

原创 一个精简服务器

一个精简服务器一个Web服务器并没有必要比我们前面章节中创建的简单服务器复杂。接受TCP/IP连接之后，Web服务器需要使用HTTP协议实现更深层的通信。除了将处理连接的代码分隔到它自己的函数之外，下面列出的服务器代码几乎与简单服务器相同。这个函数处理来自网络浏览器的HTTP GET和HEAD请求。程序会在本地目录webroot中查找浏览器请求的资源并将它发送给

原创 了解套接字Socket

了解套接字 套接字是通过操作系统(OS)完成网络通信的一种标准方法。可以将套接字看作是与连接相连的一个终端，就像是操作员配电盘上的一个插座一样。但是这些套接字只是程序员的抽象称呼，它们负责有文描述的OSI模型的所有基本细节。对程序员来说，可以使用一个套接字通过网络发送或接收数据。这些数据在较低的层（由操作系统处理）之上的会话层(5)传输，该层负责路由。有几种不同的套接字

《开源安全运维平台-OSSIM最佳实践》于2016年1月出版

《开源安全运维平台-OSSIM最佳实践》已于2016年1月出版      经多年潜心研究开源技术，历时三年创作的《开源安全运维平台OSSIM最佳实践》一书即将出版。该书用100多万字记录了作者10多年的OSSIM研究应用成果，重点展示了开源安全管理平台OSSIM在大型企业网运维管理中的实践。国内目前也有各式各样的运维系统，经过笔者对比分析得出这些工具无论在功能上、性能上还是在安全和稳定性...

原创 《开源安全运维平台-OSSIM最佳实践》已经上市

经多年潜心研究开源技术，历时三年创作的《开源安全运维平台OSSIM最佳实践》一书即将出版。该书用100多万字记录了作者10多年的OSSIM研究应用成果，重点展示了开源安全管理平台OSSIM在大型企业网运维管理中的实践。国内目前也有各式各样的运维系统，经过笔者对比分析得出这些工具无论在功能上、性能上还是在安全和稳定性易用性上都无法跟OSSIM系统想媲美，而且很多国内的开源安全运维项目在发布几年后就逐步淡出了舞台，而OSSIM持续发展了十多年。

《Unix/Linux网络日志分析与流量监控》获奖

《Unix/Linux网络日志分析与流量监控》获2015年度最受读者喜爱的IT图书奖。刊登在《中华读书报》（ 2015年01月28日 19 版）  我的2015年新作刊登在《中华读书报》（ 2015年01月28日 19 版）原文下载：http://epaper.gmw.cn/zhdsb/images/2015-01/28/19/2015012819_pdf.pdf这3...

原创 Ossim下RRDTool实战

Ossim下RRDTool实战 RRDtool 就是使用类似的方式来存放数据的工具，RRDtool 所使用的数据库文件的后缀名是.rrd（主要在 OSSIM系统的/var/lib/ossim/rrd/、/var/lib/munin/alienvault/目录、/var/lib/munin/localdomain和/var/lib/ntop_db_64/rrd/interface/e

Ossim下RRDTool实战

Ossim下RRDTool实战RRDtool就是使用类似的方式来存放数据的工具，RRDtool所使用的数据库文件的后缀名是.rrd（主要在OSSIM系统的/var/lib/ossim/rrd/、/var/lib/munin/alienvault/目录、/var/lib/munin/localdomain和/var/lib/ntop_db_64/rrd/interface/eth...

原创 认识OSSIM中的UUID

认识OSSIM中的UUID

版权声明：本文为博主原创文章，未经博主允许不得转载。

原创 OSSIM的Session存储问题研究

OSSIM的Session存储问题研究1.多Web服务共享SESSION数据     最初我们在开发OSSIM时，为了让用户登录多个集成工具的Web界面，比如在OSSIM下有四个应用都是B/S架构： https://1.2.3.4/nagios https/1.2.3.4/ocs https://1.2.3.4/ntop https://1.2.3.4/openva

OSSIM的Session存储问题研究

OSSIM的Session存储问题研究1.多Web服务共享SESSION数据 最初我们在开发OSSIM时，为了让用户登录多个集成工具的Web界面，比如在OSSIM下有四个应用都是B/S架构：https://1.2.3.4/nagioshttps/1.2.3.4/ocshttps://1.2.3.4/ntophttps://1.2.3.4/openvas 登录OSSIM系统的...

原创 OSSIM安装与驱动问题

OSSIM安装与驱动问题 大家在部署OSSIM系统常遇到的就是驱动安装的问题，或是网卡没驱动或是硬盘没驱动，其实在Linux手动安装驱动是一项必须掌握技能。在《Unix/Linux网络日志分析与流量监控分析》讲过OSSIM平台是一套基于Debian Linux的系统，但是IBM，HP，DELL等厂家的多数服务器对Debian Linux系统支持的并不太好，所以磁盘和网卡的驱动通常都

OSSIM安装与驱动问题

OSSIM安装与驱动问题大家在部署OSSIM系统常遇到的就是驱动安装的问题，或是网卡没驱动或是硬盘没驱动，其实在Linux手动安装驱动是一项必须掌握技能。在《Unix/Linux网络日志分析与流量监控分析》讲过OSSIM平台是一套基于Debian Linux的系统，但是IBM，HP，DELL等厂家的多数服务器对Debian Linux系统支持的并不太好，所以磁盘和网卡的驱动通常...

原创 谈OSSIM服务器内存开销问题

谈OSSIM服务器内存开销问题 OSSIM经历十多年发展，目前已经成为最优秀的开源安全事件信息管理平台，它在我国的应用才刚刚起步。多年前，在国外考查时我意外发现了这款优秀的软件系统，并不断改进之后开始在国内开始推广应用OSSIM，在我撰写的《Unix/Linux网络日志与流量监控》一书中花费30%的笔墨，讲述了OSSIM部署及应用技巧。但初学者往往多这种系统的硬件要求之高并不理解，

谈OSSIM服务器内存开销问题

谈OSSIM服务器内存开销问题OSSIM经历十多年发展，目前已经成为最优秀的开源安全事件信息管理平台，它在我国的应用才刚刚起步。多年前，在国外考查时我意外发现了这款优秀的软件系统，并不断改进之后开始在国内开始推广应用OSSIM，在我撰写的《Unix/Linux网络日志与流量监控》一书中花费30%的笔墨，讲述了OSSIM部署及应用技巧。但初学者往往多这种系统的硬件要求之高并不理解...

原创 网络取证原理与实战

网络取证原理与实战一、分析背景网络取证技术通过技术手段，提取网络犯罪过程中在多个数据源遗留下来的日志等电子证据，形成证据链，根据证据链对网络犯罪行为进行调查、分析、识别，是解决网络安全问题的有效途径之一。目前，传统的计算机取证模型和方法比较成熟，而应用于大数据时代则需要OSSIM等集成分析平台对海量数据尽心网络取证分析。二、取证分析特点网络取证不同于传统的计算机取证，主要侧重于对网

原创 WOT2015 互联网运维与开发者大会上的演讲

参加WOT2015 互联网运维与开发者大会 发表演讲      World Of Tech 2015 ,IT技术人的世界!作为51CTO传媒万众瞩目的开年力作，WOT2015互联网运维与开发者大会已经圆满结束，为运维开发人员“私人订制”2+1天的狂欢盛宴，逾千名IT技术人、业界精英齐聚一堂,值得你跨越万水千山一探究竟。   本人很荣幸地受邀参加本次大会,发表了关于开源安全信息管理平台最

WOT2015 互联网运维与开发者大会上的演讲

参加WOT2015 互联网运维与开发者大会 发表演讲 World Of Tech 2015 ,IT技术人的世界!作为51CTO传媒万众瞩目的开年力作，WOT2015互联网运维与开发者大会已经圆满结束，为运维开发人员“私人订制”2+1天的狂欢盛宴，逾千名IT技术人、业界精英齐聚一堂,值得你跨越万水千山一探究竟。 本人很荣幸地受邀参加本次大会,发表了关于开源安全信息管理平台最佳实践的演讲，...